Apache Kylin多个命令注入漏洞安全风险通告

admin 2023年1月4日09:47:39安全漏洞评论21 views2059字阅读6分51秒阅读模式
Apache Kylin多个命令注入漏洞安全风险通告

奇安信CERT

致力于第一时间为企业级用户提供安全风险通告有效解决方案。




安全通告



Apache Kylin 是一个开源的、分布式的分析型数据仓库,提供Hadoop或Spark之上的 SQL 查询接口及多维分析(OLAP)能力以支持超大规模数据,最初由 eBay 开发并贡献至开源社区。

近日,奇安信CERT监测到Apache Kylin命令注入漏洞(CVE-2022-43396)和Apache Kylin命令注入漏洞(CVE-2022-44621)。其中Apache Kylin命令注入漏洞(CVE-2022-43396)是历史漏洞CVE-2022-24697的黑名单修复绕过,攻击者通过控制目标服务器conf的kylin.engine.spark-cmd参数来控制命令。Apache Kylin命令注入漏洞(CVE-2022-44621)是由于系统Controller未验证参数,攻击者可以通过HTTP请求进行命令注入攻击。鉴于这些漏洞影响范围较大,建议客户尽快做好自查,及时更新至最新版本。


漏洞名称

Apache Kylin 命令注入漏洞(CVE-2022-43396)

公开时间

2022-12-30

更新时间

2023-01-03

CVE编号

CVE-2022-43396

其他编号

QVD-2023-1094

威胁类型

命令执行

技术类型

命令注入

厂商

Apache

产品

Kylin

风险等级

奇安信CERT风险评级

风险等级

高危

蓝色(一般事件)

现时威胁状态

POC状态

EXP状态

在野利用状态

技术细节状态

未发现

未发现

未知

未发现

漏洞描述

Apache Kylin命令注入漏洞(CVE-2022-43396)是历史漏洞CVE-2022-24697的黑名单修复绕过,攻击者通过控制目标服务器conf的kylin.engine.spark-cmd参数来控制命令。

影响版本

Kylin 2.x

Kylin 3.x

Kylin 4.x < 4.0.3

不受影响版本

Kylin >= 4.0.3

其他受影响组件


漏洞名称

Apache Kylin 命令注入漏洞(CVE-2022-44621)

公开时间

2022-12-30

更新时间

2023-01-03

CVE编号

CVE-2022-44621

其他编号

QVD-2023-1161

威胁类型

命令执行

技术类型

命令注入

厂商

Apache

产品

Kylin

风险等级

奇安信CERT风险评级

风险等级

高危

蓝色(一般事件)

现时威胁状态

POC状态

EXP状态

在野利用状态

技术细节状态

未发现

未发现

未知

未发现

漏洞描述

Apache Kylin命令注入漏洞(CVE-2022-44621)是由于系统Controller未验证参数,攻击者可以通过HTTP请求进行命令注入攻击。

影响版本

Kylin 2.x

Kylin 3.x

Kylin 4.x < 4.0.3

不受影响版本

Kylin >= 4.0.3

其他受影响组件



威胁评估

漏洞名称

Apache Kylin 命令注入漏洞

CVE编号

CVE-2022-43396

其他编号

QVD-2023-1094

CVSS 3.1评级

高危

CVSS 3.1分数

9.8

CVSS向量

访问途径(AV

攻击复杂度(AC

网络

所需权限(PR

用户交互(UI

不需要

不需要

影响范围(S

机密性影响(C

不改变

完整性影响(I

可用性影响(A

危害描述

Apache Kylin命令注入漏洞(CVE-2022-43396)是历史漏洞CVE-2022-24697的黑名单修复绕过,攻击者通过控制目标服务器conf的kylin.engine.spark-cmd参数来控制命令。






漏洞名称

Apache Kylin 命令注入漏洞

CVE编号

CVE-2022-44621

其他编号

QVD-2023-1161

CVSS 3.1评级

高危

CVSS 3.1分数

9.8

CVSS向量

访问途径(AV

攻击复杂度(AC

网络

所需权限(PR

用户交互(UI

不需要

不需要

影响范围(S

机密性影响(C

不改变

完整性影响(I

可用性影响(A

危害描述

Apache Kylin命令注入漏洞(CVE-2022-44621)是由于系统Controller未验证参数,攻击者可以通过HTTP请求进行命令注入攻击。







处置建议

前Kylin官方已发布安全版本修复该漏洞,建议受影响用户尽快更新至对应的安全版本。

https://kylin.apache.org/


参考资料

[1]https://kylin.apache.org/

[2]https://github.com/apache/kylin/pull/2011 

[3]https://lists.apache.org/thread/7ctchj24dofgsj9g1rg1245cms9myb34

[4]https://lists.apache.org/thread/ob2ks04zl5ms0r44cd74y1xdl1rzfd1r 



时间线

2023年1月3日,奇安信 CERT发布安全风险通告。


点击阅读原文

到奇安信NOX-安全监测平台查询更多漏洞详情

原文始发于微信公众号(奇安信 CERT):Apache Kylin多个命令注入漏洞安全风险通告

特别标注: 本站(CN-SEC.COM)所有文章仅供技术研究,若将其信息做其他用途,由用户承担全部法律及连带责任,本站不承担任何法律及连带责任,请遵守中华人民共和国安全法.
  • 我的微信
  • 微信扫一扫
  • weinxin
  • 我的微信公众号
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2023年1月4日09:47:39
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                  Apache Kylin多个命令注入漏洞安全风险通告 https://cn-sec.com/archives/1497128.html

发表评论

匿名网友 填写信息

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: